Hablemos de HoneyCON 2018

1. Introducción al Congreso

HoneyCON es un congreso enfocado en la Seguridad Informática, teniendo como finalidad la exposición de investigaciones de manera pública para que los asistentes aprendan nuevas técnicas, metodologías o buenas prácticas relacionadas con la temática, además del networking entre asistentes y ponentes. HoneyCON lleva desarrollándose desde el año 2015 en Guadalajara, España, siendo HoneySEC la asociación que lo organiza.

2. Resumen del evento

Los días 8, 9 y 10 de Noviembre de 2018 tuvo lugar la Cuarta Edición del Congreso de Seguridad HoneyCon en Guadalajara, organizada por HoneySec.

El día 8 fue destinado a la Hack&Beers presentándose tres ponencias relacionadas a Metadatos, Investigaciones OSINT y Hacking de ATMs.

El día 9 se enfocó a ponencias de diversa temática siempre dentro de un contexto común de ciberseguridad, presentándose trabajos relacionados con Forense, Ciberinteligencia, Hacking y Drones.

El último día tuvieron presencia los talleres, los tracks destinados a familias y DFIR.

• Entre los talleres destaca un gran abanico de temáticas, cubriendo en lineas generales Hacking, Ciberinteligencia, Forense Cloud, Forense de dispositivos Android y Reversing.
• El Track de Familias estaba destinado a los más pequeños, con el fin de que aprendieran conceptos de seguridad mientras se divertian, además de como concienciar sobre la seguridad a los padres.
• El Track DFIR se enfocó en diferentes tipos de investigaciones forenses.

3. Vivencias por el congreso

Aqui os dejo una breve descripción de cada una de las ponencias presentadas en el evento, ofreciendo el enlace de donde podreis consultar material relacionado con cada una de ellas (en la medida de lo posible).

Las ponencias del día 8 están relacionadas con el evento Hack&Beers, teniendo como fin presentar investigaciones de manera informal.

Las tres ponencias correspondientes son las siguientes:

La primera ponencia fue realizada por Iván Rodriguez con el título «Exfiltrate your friki metadata«. Iván explicó la importancia que tiene EXIF y como analizar imágenes para saber si existe información oculta en los metadatos de las mismas, como por ejemplo la geolocalización donde se realizo la imagen o cualquier tipo de dato no expuesto a simple vista preparando un CTF como ejercicio para los asistentes. Dicho CTF puede localizarse en el siguiente enlace: https://github.com/hackers4f/hackers4fun-writeups/blob/master/challenges/Misc/Reto_16_H&B_Gr33tings_Pr0F3s0R_F4lk3n/README.md

La presentación realizada por Iván puede consultarse en el siguiente enlace: https://www.slideshare.net/slideshow/embed_code/key/xxZPTvRyZjq2Zn

La segunda ponencia era de  Jorge Websec y estaba titulada «All in one OSINT con Python para investigaciones«. Esta ponencia estaba enfocada a OSINT y como realizar investigaciones sobre fuentes abiertas mediante herramientas desarrolladas en python, para poder generar posteriormente la inteligencia sobre los resultados obtenidos. En el siguiente enlace se puede visualizar la presentación, que aunque pertenezca a otro evento, cubre el mismo contenido:

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018-osint_osant_python_meetup-JorgeCoronado.pdf»]
Presentación realizada y cedida para ser compartida por Jorge.

La última charla del día fue presentada por Ignacio Brihuega con el título de «Introducción al hacking de ATMs«, ofreciendo una visión introductoria de cómo se realiza un pentest sobre cajeros automáticos o ATMs.

Las ponencias del día 9 estaban englobadas en un Track General, presentándose trabajos muy diferentes entre sí pero aportando una visión de la ciberseguridad de forma global. La agenda de las ponencias de dicho día se pueden ver a continuación:

Se comenzó el track con una presentación por parte de las autoridades y el director de la Universidad Nacional a Distancia (UNED), dando paso posteriormente a las propias ponencias del día.

La primera presentación fue ofrecida por Lórien Doménech y Carlos Antonini con el título de «Una nube de Malware por favor«, mostrando como procede un equipo de Red Team y otro de Blue Team. El primer equipo tuvo 6 horas para planificar y ejecutar el ataque, mientras que el segundo equipo se encargó de realizar un forense sobre las actividades ejecutadas por el Red Team (empleando 6 horas igualmente), intentando descubrir evidencias sobre el ataque ejecutado por el primer equipo.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018-UnaNubeDeMalware-LorienDomenech-CarlosAntonini.pdf»]
Presentación realizada y cedida para ser compartida por Lorien y Carlos.

La segunda ponencia la realizaron Fran Rodríguez y Jose Aurelio Garcia, mostrando a los asistentes el resumen de una investigación realizada sobre «La estafa del CEO», en la que expusieron un caso real sobre suplantación de identidad del CEO de una empresa Española. Los usuarios maliciosos, a través de técnicas de Ingeniería Social, conseguían hacerse pasar por el máximo responsable de una empresa, engañando a sus víctimas para que realizaran transferencias bancarias a una cuenta en control de los atacantes en concepto de actividades legítimas de la compañía. A lo largo de esta investigación fueron detectando otros dominios pertenecientes a una red criminal muy amplia que eran utilizados para estafar a grandes compañías usando las mismas tácticas.

La siguiente ponencia fue de Manu Guerra con «ALT39 y cena macarrones», en la que el autor explico que es KODI (aplicación de código libre que permite visualizar contenido multimedia mediante un ordenador, Raspberry Pi o en cualquier sistema Android / iOS), enfocándose posteriormente en openELEC y libreELEC (basados en KODI) para realizar el análisis forense. Se mostraron las vulnerabilidades que tienen estos sistemas, además de la facilidad para identificar activos expuestos en Internet, que tienen a la escucha servicios y puertos asociados a dichas aplicaciones.

Una de las ponencias más esperadas fue la de Carlos Seisdedos, con su presentación «Uso de la Inteligencia en la lucha contra el Terrorismo Yihadista«. En ella se pudo ver como se relaciona la ciberseguridad con inteligencia, generando lo que se conoce como ciberinteligencia. En este caso, focalizó sus esfuerzos en la detección de cualquier operación o actividad relacionada con el terrorismo Yihadista, exponiendo los diferentes tipos de medios con lo que suelen transmitir la información o propaganda de captación, siendo las aplicaciones de mensajería instantánea, redes sociales y deepweb las más habituales. Carlos baso su investigación principal en la monitorización de canales y grupos de Telegram para la detección de cualquier tipo de información de índole terrorista, siendo el medio de distribución más utilizado.

La siguiente ponencia fue de Juan A. Calles y Diego León bajo el nombre de «Red (S) Team». En ella los ponentes expusieron que es un Red Team, que fases hay que seguir para ejecutarlo y cuál es el fin de este tipo de proyectos, poniendo mucho énfasis en la importancia de realizar un buen Red Team, rompiendo mitos existentes sobre la mala praxis que conlleva ejecuciones erróneas.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018_RedSTeam-DiegoLeon-JuanAntonioCalles.pdf»]
Presentación realizada y cedida para ser compartida por Juan Antonio y Diego.

La sexta ponencia de la tarde fue a cargo de Yago Hansen con el título de «Nuevo ataque PMKID a redes Wi-Fi WPA«. En ella se expuso una nueva vulnerabilidad que afecta a las redes Wi-Fi que estén protegidas con WPA PSK y que dispongan del Fast Roaming activado. El ataque en cuestión permitía obtener el valor PMKID del router sin la necesidad de tener un cliente conectado, lo que provoca que todos los routers que estén protegidos con WPA PSK, sean vulnerables.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018_NuevoAtaquePMKIDaRedesWiFiWPA2-YagoHansen.pdf»]
Presentación realizada y cedida para ser compartida por Yago.

La siguiente ponencia, relacionada con el Threat Intelligence, fue de Josep Albors con el título «Serpientes, mosquitos, osos y otras amenazas dirigidas«. Josep fue hablando de algunas amenazas dirigidas, técnicamente conocidas como APTs,  explicando algunos vectores de ataques utilizados por actores criminales para conseguir controlar un objetivo concreto, con el fin de obtener la gran mayoría de las veces una ventaja geopolítica. Se hizo mención a un APT que utiliza el malware llamado Lojax (recién descubierto y analizado por ESET), el cual, consigue acceder al UEFI e instalarse en él, lo que provoca que el propio malware tenga el control desde el arranque del sistema.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon-2018-Josep-Albors-Turla_Sednit.pdf»]
Presentación realizada y cedida para ser compartida por Josep.

La penúltima ponencia del día fue de Pablo González con «My WiFi in Paranoid Mode«. En esta investigación se planteó la idea de combinar la autorización biométrica con la autenticación con contraseña de un solo uso (TOTP) en redes WiFi con el fin de fortalecer la seguridad frente al acceso a las redes inalámbricas de manera automática y transparente para el usuario independientemente del sistema operativo o dispositivo utilizado.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon-2018-Pablo-Gonzalez-My-WiFi-in-Paranoid-Mode.pdf»]
Presentación realizada y cedida para ser compartida por Pablo.

La última ponencia del día fue de David Melendez con el título de «Proyecto dron: The Interceptor«, el autor mostró como desarrolló un dron basándose en «Atropos» con el fin de realizar ataques a redes WiFi de manera automática e indetectable para las víctimas, realizando una demo sobrevolando el auditorio.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018-DAVID_MELENDEZ_THE_INTERCEPTOR_V1.pdf»]

El día 10 fue destinado a dos Tracks (Forense y Familias) y a talleres técnicos. Las ponencias de dicho día se pueden ver en la siguiente agenda:

Dentro del Track Forense, destacó la ponencia de Marcos Fuentes quien realizó una puesta en escena diferencial centrandose sobre «Generación y Visualización de líneas de tiempo«. En ella mencionó la importancia de la línea de tiempo dentro de un análisis sobre un suceso concreto, además del uso de diferentes tipos de herramienta que permiten generar y visualizar dicha línea temporal.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon-2018-Marcos-Fuentes-generacionyvisualizaciondelineasdetiempo.pdf»]
Presentación realizada y cedida para ser compartida por Marcos.

La segunda ponencia fue de Jose Aurelio Garcia tratando de «FakeNews: detectando videos e imágenes falsas«, en la que explico que hay detrás de esta tendencia, así como diferentes métodos para la detección de posibles fotos y videos manipulados que pudieran generar un «Fake News».

Otras ponencias dentro del track Forense fueron:

• «Análisis forense en dispositivos Android en casos extremos (Chipoff) Introducción Teórica» impartida por Buenaventura Salcedo.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018-DFIR-BuenaventuraSalcedo.pdf»]
Presentación realizada y cedida para ser compartida por Buenaventura Salcedo.

• «Memorias de un perito informático forense Vol (IV +I)» impartida por Lorenzo Martinez.

Dentro del Track Familias, hubo cuatro talleres:

• «Charla mama/papa quiero un móvil» impartida por Angelucho.
• «CTF para niños» impartido por Ivan Rodríguez de HoneySec.

• «Criptografía para niños» impartido por Petrux.
• «Crypto Go: juega a las cartas y aprende a proteger tus mensajes con criptografía simétrica«.

En HoneyCon también hubo un tiempo dedicado para la realización de talleres, pudiendo elegir temática dentro de las diferentes áreas de la ciberseguridad como: Forense, Hacking, Ciberinteligencia o Reversing.

Los distintos talleres fueron:

• «Ataques en las redes de datos: ¡Bang!» de Pablo González y Alberto Sánchez.
• «Dev-Pentest«. Este taller está compuesto por dos partes:
  • Una primera parte que imparte Ignacio Brihuega sobre Footprinting, Fingerprinting, Explotación y Post-Explotación dentro de un proceso de pentesting.
  • Una segunda parte impartida por Álvaro Macías sobre Reversing. El material utilizado en el taller se puede descargar desde la siguiente dirección: https://github.com/naivenom/reversing-list/tree/master/HoneyCON%20CTF%202018.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018-Dev-Pentest-IgnacioBrihuega-AlvaroMacias.pdf»]
Presentación realizada y cedida para ser compartida por Ignacio y Álvaro.

• «Monta la NSA en tu casa: Inteligencia aplicada al mundo cyber» impartida por Iván Portillo y Gonzalo González (miembros de GINSEG). Este taller realizó una introducción sobre que es la Inteligencia y como se relaciona con la Ciberinteligencia. Se expuso un caso a investigar con el fin de descubrir la problemática de recolectar información de diferentes herramientas. Se mostró posteriormente una solución mediante una orquestación de herramientas con el objetivo de relacionar todos los datos entre sí a través de grafos, generando la inteligencia. En siguientes artículos, se escribirá sobre el enfoque del taller y como realizarlo paso a paso en casa.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018_Ciberinteligencia-IvanPortillo-GonzaloGonzalez.pdf»]
Presentación realizada y cedida para ser compartida por Iván y Gonzalo.

• «Análisis Forense en Cloud» impartido por Lórien Doménech.
• «Dev-WP plugin, educando al rottweiler de la puerta» impartido por Rafa Otal.
• «Análisis forense en dispositivos Android en casos extremos» impartido por Buenaventura Salcedo.

[pdf-embedder url=»https://ginseg.com/wp-content/uploads/sites/2/2018/11/HoneyCon2018_Taller_AnalisisForenseEnDispositivosAndroidEnCasosExtremos-BuenaventuraSalcedosSantos-Olmo.pdf»]
Presentación realizada y cedida para ser compartida por Buenaventura.

4. Conclusión

Como punto muy positivo, destacan ponencias/talleres de calidad y sobre todo diferentes entre sí, generando la posibilidad de llegar a todos los públicos y niveles. Además, ha sido el primer congreso en el que se ha presentado una ponencia y un taller sobre ciberinteligencia, haciendo llegar esta especialidad a un público que pudiera desconocer esta temática.

A parte de la calidad de las ponencias, cabe destacar la buena gestión del congreso por parte de los organizadores, generando un evento muy variado, bien organizado y lo más importante, ofreciendo un trato cercano y familiar para los asistentes.

Autor artículo